不要忽视威胁情报中的地缘政治

地缘政治很少在数据收集、分析以及大多数商业部门威胁情报团队执行的其他日常任务中发挥重要作用。但它绝对应该发挥重要作用 — — 通过最近发生的一些网络攻击就可以看到为什么:

– Lazarus 组织于2018年12月试图通过智利银行间网络 Redbanc 进行抢劫,被认为是朝鲜通过使用非常规方法(即以金融机构为目标)为其政权提供资金以应对国际制裁扼杀经济之现状的最新尝试之一。

– APT10 等组织在2018年下半年对美国及其盟国实体发起的中国赞助的网络攻击活动的上升与美国宣布提高中国商品关税密切相关。

– 人们普遍认为,俄罗斯干涉西方选举的动机至少部分是因为某些候选人如果当选,将更有可能放松对该国的制裁并支持俄罗斯的利益。

这些攻击和无数其他攻击都符合一个明显的趋势:影响民族国家的地缘政治重大事件 — — 尤其是具有强大网络能力的国家 — — 往往先于这些国家的恶意网络活动。

在过去几年中,这种趋势已经体现在贸易争端、军备竞赛、制裁、重大选举以及类似事件中,这些事件最终成为许多民族国家网络攻击的主导。

对于威胁情报团队来说,这里的关键点是直截了当的:威胁情报团队应密切关注地缘政治格局,跟踪相关事件,并使用这些观察结果来理解他们的情报需求、收集策略以及有关民族国家活动的分析。但只有相对较少的团队这样做; 似乎有两个主要原因。

首先,大多数团队都遵守传统观念,即组织无法无限期地抵挡一个坚定的对手,例如一个民族国家。这种思路可以说是正确的,除了少数例外,并且在很大程度上促使许多团队在涉及民族国家威胁时远远超过主动防御的优先检测和响应。

由于地缘政治环境对检测和响应的价值往往较低,因此许多威胁情报分析师几乎没有机会接触它。一旦一个民族国家(或任何)攻击者渗透到你的网络中,了解攻击者的地缘政治动机不可能在将他们踢出网络并修复损害赔偿方面有用。

即使在攻击发生后,识别和阻止任何妥协指标(IOC)、以及发现和修补任何促进攻击的漏洞,都可以理解为在评估所涉及的地缘政治因素时具有先例性。

其次,即使是在这一领域为主动防御提供充足资源的威胁情报小组中,地缘政治也不总是能有一席之地。面向民族国家威胁的防御战略倾向于主要关注对手可能做的技术方面 — — 但不一定是可能首先激励他们做到这一点的大局。

加速检测与响应的最新工具:MITRE ATT&CK 框架是许多这样的策略的焦点。从数百万次攻击中观察到的战术、技术和程序(TTP)的生动汇编,旨在帮助维护者评估他们的系统是否能够承受和/或检测对手的TTP。

该框架被理所当然地称为黄金标准,但其所包含的地缘政治背景通常仅限于对手的原籍国以及之前针对的行业、资产和地点。例如,它没有提供有关外交争端或军备竞赛在历史上塑造对手行动的程度的见解。

利用 ATT&CK 以及相关资源对民族国家威胁的见解的最佳方式是在与贵公司相关的地缘政治因素的背景下评估这些见解。一个很好的起点是熟悉民族国家网络运营的TTP和动机,并确定与公司环境重叠的区域。

例如,让我们考虑一下,在中国经济受损的事件发生后,中国支持的先进持续威胁(APT)团体在瞄准北美和欧洲的制造商和技术公司的知识产权方面一直更为活跃。如果您的公司符合此描述,您的威胁情报团队可以通过监控经济制裁进度或对中国征收关税的消息来增强情报收集策略。如果出现这样的消息,团队就会认识到公司资产面临的潜在风险,将这些信息传递给安全运营中心,并确保采取适当的预防措施。

这种情况提出了一个重要的提醒:地缘政治环境与其他类型的威胁情报团队已经熟悉的背景情况并没有什么不同。行业、规模和利益相关者以及其他特征长期以来一直在公司易受影响的各种威胁中发挥作用。地缘政治只是另一个难题。

Rarely does geopolitics play a prominent role in the data collection, analysis, and myriad other daily tasks carried out by many, if not most, commercial-sector threat intelligence teams. But it absolutely should

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据